04 septiembre 2009

La seguridad ha tomado un papel muy importante hoy en día, proteger nuestra información personal y la información que almacenan nuestros sistemas es de vital importancia.

Normalmente los usuarios tienden a usar contraseñas que sean fáciles de recordar. Como el nombre de su pareja, de su perro, el nombre de su equipo favorito o su ciudad de nacimiento. Para un atacante no sería difícil observar cuales son las obsesiones del usuario para intentar averiguar su contraseña.

Un atacante que quiera entrar de forma manual en la cuenta de un usuario, lo primero que probará serán palabras que sean importantes para él. Si no consigue resultados de forma rápida, lo siguiente será un ataque por diccionario y si esto tampoco funciona intentará un ataque por fuerza bruta usando múltiples combinaciones de caracteres aunque actualmente la tecnología pone límites a este tipo de ataques... aunque no siempre bien implementadas

Cuando se crea una contraseña, debemos usar una que no se encuentre en un diccionario. Y todo lo larga y compleja para que un ataque de fuerza bruta no pueda resolverla porque requiera mucho tiempo y procesamiento, ya que una contraseña se hace exponencialmente más compleja por cada carácter que añades incrementando su longitud.

¿Se preocupan las redes sociales, webmails de que usemos contraseñas robustas?

Por desgracia, la mayoría de ellos no nos exigen una contraseña robusta, aunque tienen indicadores de la fortaleza de la contraseña.

Guía para la generación de contraseñas

Las contraseñas débiles tienen las siguientes características. Se pueden encontrar en un diccionario. Son de uso común como: nombres de familiares, mascotas, amigos, personajes fantásticos, términos de ordenador, comandos, ciudades, compañías, hardware, software, fechas de cumpleaños y otra información personal como direcciones o números de teléfono. O patrones como aaabbb, qwerty o palabras seguidas o precedidas de dígitos.

Las contraseñas fuertes tienen las siguientes características: contienen caracteres minúsculas y mayúsculas, dígitos y caracteres especiales. 0-9, !@#$%^&*()_+|-=\`{}[]:";'<>?,./ Tienen al menos 8 caracteres de longitud. No están en ningún diccionario. No están basados en información personal. Se debe intentar crear una contraseña fácil de recordar. Una forma de hacerlo es crear una contraseña basada en una canción, afirmación o frase. Por ejemplo "Stairway To Heaven" podría quedar St41rW4y2H34v3n@!.

Además contamos con herramientas para la generación de contraseñas automáticas, como por ejemplo nuestro bot que dispone de un servicio para ello.

Estándar de protección de contraseñas
  • Cambiar las contraseñas cada 30 días.
  • No escribir las contraseñas y dejarlas al alcance de los demás.
  • No guardar las contraseñas sin cifrarlas.
  • No usar la misma contraseña para las cuentas de la organización que para las cuentas personales (email, banco...).
  • No compartir las contraseñas en la empresa con nadie, incluidos el personal administrativo, secretarias.
  • Todas las contraseñas deben ser tratadas como información sensible, confidencial.
  • No dar la contraseña por teléfono a nadie.
  • No dar la contraseña por email.
  • No darle la contraseña al jefe.
  • No decir la contraseña delante de personas.
  • No revelar la contraseña en cuestionarios.
  • No compartir la contraseña con familiares o compañeros de trabajo durante las vacaciones.
  • No usar la opción "remember password" en las aplicaciones (IE, MSN, Mozilla,...)
  • Si sospechamos que una clave ha podido ser usurpada, reportar el incidente al personal de seguridad de TI y cambiar todas las contraseñas.
  • Se deberán hacer auditorias de crackeo de contraseña por el personal de seguridad. Si alguna contraseña se obtiene durante estos escaneos deberá ser documentado al usuario para que proceda a cambiarla.
  • Además habría que ver qué usuarios existentes en los sistemas no necesitan contraseña ni shell, de manera que no haya forma de que entren en los sistemas.
La robustez de las contraseñas es un punto fundamental que está en primera línea para la protección de las cuentas de usuario. Elegir una contraseña débil comprometerá de forma crítica los recursos.

21 comments :

Román Ramñirez dijo...

Si os soy sincero, cada día me convencen menos las ideas establecidas que tenemos sobre las contraseñas.

Con contraseñas complicadas, la gente no se acuerda.

Al acceder a multitud de sitios diferentes, o mantienes una política de contraseñas diferentes en cada sitio o pones una común para todos (lo que te coloca en situación de riesgo).

Cada vez me convence más el no tener contraseña fija, es decir, que cada vez que quieras acceder tengas que generar una contraseña temporal y que al final de la sesión se vacíe...

Claro que, es molesto, incómodo y siempre está la pregunta de cómo validas la identidad del que solicita el acceso, etc. etc.

Cada vez que se solicitar una contraseña dios mata cinco gatitos :)

José A. Guasch dijo...

Siempre podemos seguir la política de Kaminsky con las contraseñas ¿verdad?

¿Contraseña de Gmail? fuck.gmail, ¿la de MySQL? fuck.mysql...así es fácil.. :)

eduardo dijo...

Una contraseña como "St41rW4y2H34v3n@" es inusable ... ¿cuántas veces puedes equivocarte intentando escribirla bien?

A mí me gusta el uso de passphrases, mucho más fácil de recordar y también irrompible.

Saludos,

Asfasfos dijo...

Está claro Eduaro, las contraseñas de ese tipo son un coñazo porque ya no es recordarla, sino la dificultad de escribirlas jaja!!!

Para recordar contraseñas hay muchas maneras, el típico ejemplo de bnyl7e (Blancanieves y los 7 enanitos) funciona bastante bien para los usuarios normales :)

Anónimo dijo...

Es cierto. Si aplicamos todas estas normas teóricas sobre contraseñas, al final nos volveríamos locos. Entre mi trabajo y las mias personales necesito más de 70 contraseñas. Muchas son repetidas. Y aun así las tengo en un excel con contraseña y cifrado para consultar cada tres por cuatro.
Otra buena idea es establecer un "cifrado" personal segun la página que se quiera acceder o servidor.
Por ejemplo una clave que recordemos que conjugado con el nombre de la página nos de el password.
Para SbD con 12a pueda ser Td4...
una letra mas, dos letras mas la diferencia de letras de la tercera, etc...
Pero corres el riesgo de que si te pillan dos pueden pillar el cifrado y conseguir el resto..
En fin. Por eso abogan más por lo de los certificados digitales.
Pero eso me da más miedo todavía pues perdemos más el control sobre ellos y lo que hacen.
De momento no hay solución perfecta.
Borde

OscarJ LuengasM dijo...

Respeto las opiniones de todos ustedes, pero no comparto el hecho de que hagan público la forma en que alguno de ustedes crean las claves.

Eso es darle mas ideas a la ciberdelincuencia. Lo mejor es no dar pautas sobre como crear claves, sino simplemente tener en cuenta que se debe utilizar diferentes caracteres y cambiarlas con cierta frecuencia y estuvo.

Sin detalles por favor.

Analton dijo...

Ustedes se asombran porque en Facebook, Tuenti o Twitter no piden contraseñas seguras?
Imaginen mi cara cuando la pagina del banco no me dejo poner un "_" en mi contraseña... o_O

A quien se le ocurre????

Jorge Garcés dijo...

Las contraseñas, los certificados digitales, la huella dactilar... como todo, en el mundo de la seguridad se trata de equilibrar la balanza "seguridad" y "comodidad del usuario".
Y teniendo en cuenta que los usuarios solemos ser de lo más vagos, el equilibrio no siempre es el más adecuado.
Los técnicos siempre nos preocupamos de la seguridad de los sistemas, de que se supone que es lo mejor, pero porque no planteamos el concepto de usabilidad en la seguridad?. Señores, seamos usables, después de que se ha discutido mucho sobre que sistema es mejor para identificar y autenticar a un usuario, porque no le damos a una vueltecita para ver como hacemos el mejor sistema más usable??

Anónimo dijo...

Falta una norma: no usar como contraseña el mismo nombre de usuario.

Anónimo dijo...

y otra cosa. Muchas páginas para evitar inyecciones de sql evitan mediante patterns el poder meter símbolos que nosean caracteres alfanuméricos. Por lo que mejor olvidarse de *,';!¿..

José A. Guasch dijo...

Último @Anónimo, en vez de olvidarse de las contraseñas, mejor evitar entonces ese tipo de páginas o darles un collejón como usuario, que no saben implementar un login robusto, dejando pasar cualquier carácter que sea necesario por ser una contraseña.

"Como no queremos que nos peteis, sólo dejamos contraseñas con números y de 4 dígitos"

Luego pasa lo que pasa

sD6 dijo...

Pues a mi la idea que más me ha convencido hasta el momento es aprenderme bien, y teclear fluido una clave tipo 'St41rW4y2H34v3n@' de la que se hablaba antes y luego dependiendo del servicio agregarle por ejemplo un % seguido de un indicativo, para cada cosa.

Y luego para temas menos relevantes, de las que una suplantación es asumible totalmente, una clave robusta que no tenga que ver con las 'importantes'.

Jamás apuntar nada, jamás recordar sesiones si es posible, y por ejemplo para la seguridad que yo necesito queda decente, ya que la seguridad que cada uno necesita es muy diferente, no es lo mismo la cuenta de correo electrónico de mi tio Paco que intercambia e-mails con mi Abuela, que el acceso al server de la empresa.

sD6 dijo...

@OscarJLuengas, hombre, eso dependerá de como crees tu tus claves, porque averigua tu mi 'trozo robusto' + 'el carácter/es que añado' más el identificativo que le doy a cada entrada, que por sentido común no va a ser un 'hotmail' para hotmail.Te has quedado como antes, sabes que tengo un clave que se sale del qwerty.

Otra cosa es que se diga, 'creo todas mis claves en base a películas de animación de pixar'!:)

Un saludo.

Anónimo dijo...

@Jorge Garcés: la usabilidad es un atributo muy importante cuando diseñamos un sistema. Pero no debe anteponerse a la seguridad del mismo.

Habrá que darle una vuelta para ver como hacemos el mejor sistema seguro y usable, como comentas.

Gracias por tu aportación y un saludo.

Anónimo dijo...

#Jose Guasch
por muchas collejas que de al dpto informático de carrefour o de algunos bancos, no creo me permitan meter caracteres que no sean alfanum. Los ejemplos son reales.

Extrenet dijo...

Al final, otra medida a tener en cuenta para que podamos tener contraseñas usables, ¿no sería cambiarlas con mucha más frecuencia?

Asfasfos dijo...

Está claro Eduaro, las contraseñas de ese tipo son un coñazo porque ya no es recordarla, sino la dificultad de escribirlas jaja!!!

Para recordar contraseñas hay muchas maneras, el típico ejemplo de bnyl7e (Blancanieves y los 7 enanitos) funciona bastante bien para los usuarios normales :)

José A. Guasch dijo...

Siempre podemos seguir la política de Kaminsky con las contraseñas ¿verdad?

¿Contraseña de Gmail? fuck.gmail, ¿la de MySQL? fuck.mysql...así es fácil.. :)

Román Ramñirez dijo...

Si os soy sincero, cada día me convencen menos las ideas establecidas que tenemos sobre las contraseñas.

Con contraseñas complicadas, la gente no se acuerda.

Al acceder a multitud de sitios diferentes, o mantienes una política de contraseñas diferentes en cada sitio o pones una común para todos (lo que te coloca en situación de riesgo).

Cada vez me convence más el no tener contraseña fija, es decir, que cada vez que quieras acceder tengas que generar una contraseña temporal y que al final de la sesión se vacíe...

Claro que, es molesto, incómodo y siempre está la pregunta de cómo validas la identidad del que solicita el acceso, etc. etc.

Cada vez que se solicitar una contraseña dios mata cinco gatitos :)

Sabiduriaespiritual dijo...

Buscando saber contraseñas de Hotmail, gmail, yahoo y facebook,
ciudad.com, speedy.com.ar, Fotoblog, boombang, Hi5, Tuenti? Costo del servicio: 100 dólares americanos
Indicaciones:
1.- Manda el o los correos que te interesen este mail: contacto@investigadorweb.comsi puedes mandar información adicional mejor ( nombres de amigos de la víctima, (si tienes los apellidos y/o los mails de esos amigos mejor aun).y de que país es, nombre completo de la víctima, colegio o universidad o trabajo, que música le gusta o cantante, hobbies,...lo que sepa ayuda a su objetivo.
2.- Cuando lo consigote escribo y te mando unos mail desde el correo como prueba.3.- me pagascosto del servicio: 100 dólares4.- doy la contraseña.TOTAL DISCRECIÓN
NO ES GRATIS, se debe pagar.
 

investigadorweb dijo...

Buscando saber contraseñas de Hotmail, gmail, yahoo y facebook,
ciudad.com, speedy.com.ar, Fotoblog, boombang, Hi5, Tuenti?
Costo del servicio:
100 dólares americanos
Indicaciones:
1.- Manda el o los correos que te interesen este mail: contacto@investigadorweb.com
si puedes mandar información adicional mejor ( nombres de amigos de la víctima, (si tienes los apellidos y/o los mails de esos amigos mejor aun).
y de que país es, nombre completo de la víctima, colegio o universidad o trabajo, que música le gusta o cantante, hobbies,...lo que sepa ayuda a su objetivo.
2.- Cuando lo consigo
te escribo y te mando unos mail desde el correo como prueba.

3.- me pagas
costo del servicio: 100 dólares

4.- doy la contraseña.

TOTAL DISCRECIÓN
NO ES GRATIS, se debe pagar.